Dans quelques années, mémoriser les mots de passe pourrait appartenir au passé. Voyons comment et pourquoi dans cet article.
Si vous avez prêté attention à la cybersécurité dernièrement, vous avez probablement entendu parler des passkeys. Google les lance déjà et elles pourraient être sur le point de changer la façon dont nous sécurisons Internet. Mais qu’est-ce qu’une passkey exactement? Et est-elle meilleure que les connexions par mot de passe que nous utilisons depuis des décennies?
Qu’est-ce qu’une passkey?
Les passkeys visent à éliminer les connexions par mot de passe pour contourner leurs points faibles (nous y reviendrons plus tard). Au lieu de cela, un authentificateur tel qu’un trousseau de clés du système d’exploitation de votre téléphone ou un gestionnaire de mots de passe distinct génère une paire de clés cryptographiques qui vous donne accès à d’autres applications et sites Web. Bien sûr, vous devrez toujours vérifier votre identité via l’authentificateur, ce qui pourrait impliquer un mot de passe principal, une reconnaissance faciale ou des empreintes digitales, en option pour accélérer les choses.
Un aspect important du concept de passkey est la portabilité. Il est potentiellement très facile de synchroniser les passkeys sur vos appareils, tant que vous avez le mot de passe principal pour déverrouiller les choses.
Comment fonctionne une passkey?
Lorsque vous activez les passkeys au sein d’une application ou d’un site Web compatible, votre authentificateur crée un jeu de clés cryptographiques publiques et privées. Pour une authentification sécurisée, ces clés sont échangées, chiffrant le trafic par rapport au monde extérieur.
Les clés publiques sont appelées ainsi car elles sont stockées sur des serveurs associés à une application ou un site Web. Un pirate informatique pourrait théoriquement pirater un serveur et voler votre clé, mais sans votre mot de passe principal et votre clé privée, elle est absolument inutile.
Les clés privées sont toujours enregistrées localement sur vos appareils et ne sont fournies aux serveurs que lorsque quelque chose nécessite des informations d’identification. Vous devez vérifier votre identité pour que le processus soit terminé. Gardez à l’esprit qu’un serveur n’a pas besoin des détails complets d’une clé privée, car il existe un lien mathématique avec son équivalent public.
Passkeys et mots de passe : lequel est le plus sûr?
Les passkeys sont généralement plus sûres, car les mots de passe doivent nécessairement être stockés dans une base de données à distance. Bien que de nombreuses entreprises disposent de défenses, un pirate informatique expérimenté peut potentiellement les pirater, et toutes les connexions qu’ils trouvent sont immédiatement utiles si elles ne sont pas prises en charge par une vérification en deux étapes (2SV). La situation empire lorsque les gens réutilisent trop souvent leurs mots de passe : les pirates informatiques pourraient ne pas avoir à se soucier d’autres serveurs si le même mot de passe fonctionne partout.
La nature humaine peut déjouer les mots de passe d’autres manières. Souvent, nous n’y pensons pas assez, ce qui les rend faciles à deviner ou à utiliser la force brute par des tentatives répétées. Parfois, nous les partageons avec des personnes que nous ne devrions pas, par exemple lorsque nous tombons dans des escroqueries par hameçonnage.
Les passkeys ne sont pas invincibles, bien sûr. Si quelqu’un met la main sur l’un de vos authentificateurs et votre mot de passe principal, il pourrait avoir les clés de votre vie numérique entière, ou du moins de tout ce qui utilise une passkey. Cependant, cela devrait être moins probable que les attaques contre des serveurs distants.
Pubblicato in Guides & tutoriels
Soyez le premier à commenter